Parmi les différentes solutions de stockage dans le Cloud, DropBox s'est taillé une solide réputation ces dernières années et vous êtes certainement nombreux à utiliser le service quotidiennement.
Pourtant, il apparait régulièrement que le logiciel prend un peu ses aises avec la vie privée et profite des largesses de ses utilisateurs en s'octroyant un contrôle avancé du Mac, comme nous allons le voir ce dimanche.
Vous pouvez en effet constater que le programme possède le droit ultime de contrôler votre ordinateur dans les préférences systèmes, onglet sécurité/confidentialité. Ces autorisations permettent de tout faire sur votre ordinateur : supprimer des fichiers, lancer des apps, valider des boites de dialogue...
Il est en fait assez compliqué pour un éditeur, d'ajouter son programme dans l'ongletconfidentialité/accessibilité : il faut impérativement activer la fonction manuellement et Apple permet à tout moment aux utilisateurs de venir retirer les droits à un logiciel.
Par exemple, avec Steam, voilà la boite de dialogue qui est affichée au lancement :
Impossible pour Steam de venir activer la fonction à votre place. C'est une opération consentie et manuelle !
Or, vous rappelez-vous avoir activé la chose pour DropBox ? Non ? C'est normal ! DropBox n'a jamais affiché cette boite de dialogue, qui évoque la nécessité de contrôler votre ordinateur. En réalité, à l'installation du programme, on vous demande simplement d'entrer vos identifiants pour que DropBox puisse fonctionner correctement :
Si vous cliquez sur annuler, le logiciel se lance et ne semble pas rencontrer de problème particulier.
D'après plusieurs témoignages, DropBox profiterait de cette boite de dialogue pour enregistrer vos identifiants dans son propre cache (ce n'est a priori pas le cas, car si vous changez de mot de passe -on a testé- la manipulation ci-dessous fonctionne toujours), ou s'octroierait alors tous les droits à ce moment là (plus probable, mais pas très glorieux)... dont celui d'activer automatiquement le contrôle de votre Mac !
Pire, si vous décidez de ne plus autoriser DropBox à contrôler votre ordinateur... celui-ci réactive la fonction à votre insu immédiatement !
Pour le prouver, vous pouvez effectuer un petit test :
- ouvrez les préférences systèmes, onglet sécurité - supprimez DropBox de la liste des applications dans Accessibilité - quittez et relancez DropBox
D'ici une petite minute, le programme réapparaitra comme par magie dans la liste ! Pour ce faire, DropBox aura récupéré et utilisé votre mot de passe administrateur sans jamais vous en informer clairement. Mais surtout, à moins de désinstaller complètement l'app, impossible de l'empêcher de contrôler votre Mac !
C'est ce qu'on appelle utiliser des méthodes de pirate, les mêmes que l'on retrouve dans les chevaux de Troie et autres malwares. Pas très glorieux, n'est-ce pas ?
Evidemment, DropBox n'est ni un malware, ni un cheval de Troie, et il n'y a sans doute aucun risque à lui conférer les droits de contrôler votre Mac. Malgré tout, on s'étonne qu'Apple (qui est forcément au courant de la pratique) laisse les éditeurs de renom s'adonner à de tels agissements... d'autant que la méthode fonctionne encore très bien avec macOS Sierra .
MAJ : devant le petit scandale naissant sur les réseaux sociaux, DropBox a communiqué sur le comportement de son programme, reconnaissant à demi-mot des méthodes peu explicites... et mettant sur le dos d'Apple l'absence de transparence détaillée sur certaines demande d'autorisation. (à se demander comment font Steam et les autres...). Une mise à jour devrait prochainement corriger le problème.
Pourquoi DropBox a besoin de l'accessibilité sur mon Mac ?
Dropbox utilise les permissions d'accessibilité de Mac OS X pour fonctionner correctement. Plus exactement, nous utilitons cette API pour la badge Dropbox (qui fait partie de l'intégration avec Microsoft Office).
Puis-je le désactiver ?
Vous ne pouvez pas désactiver l'accessibilité pour le moment pour Dropbox sur l'application pour Mac OS X. Nous sommes conscients que ce n'est pas un fonctionnement idéal, et nous travaillons à mettre à jour la fonctionnalité.
Pourquoi n'ai-je pas été informé de la demande d'accès à l'accessibilité ?
Comme les applications pré-installées, nous demandons un accès aux permissions que nous utilisons. Malheureusement, certaines permissions de Mac OS X ne sont pas aussi détaillées qu'on le voudrait. Cela signifie que plusieurs permissions peuvent être incluses dans la même boite de dialogue. Quand vous installez une application, l'accès à l'accessibilité est inclus dans la demande d'accès principal.
Que se passe-t-il si je désactive l'autorisation à l'accessibilité pour Dropbox ?
Pour le moment, si vous désactivez l'accès à l'accessibilité à Dropbox, le programme passera outre au prochain redémarrage.
